PKI域: 同一个信任链下的所有证书组成一个PKI域。
数字信封: 包含加密后的对称密钥(基于对方公钥加密)和加密数据(基于对称密钥)。
数字签名: 对数据的摘要信息进行加密运算,生成数字签名,解决了数据完整性和不可否认性的问题。
数字证书: 包含公钥和用户身份信息的数据结构,由CA签发,解决了公钥分发和身份认证的问题。
数字证书中的签名: 由CA使用其私钥对证书内容进行签名,确保证书的真实性和完整性。
数字证书消息中有2个alg字段,且需要一致。
cer证书不包含私钥,其他格式的证书可能包含私钥。
国密证书为双证书结构,包含加密证书和签名证书;申请时一般由申请者发送签名证书请求,CA签发签名证书后,CA直接签发2个证书,申请者下载后安装2个证书。
即申请者只有签名证书私钥,其他的由CA生成。
在国密数字信封中,申请实体生成加密证书的密钥对,使用私钥加密申请信息发给CA,CA生成一个数字信封,包括用接收方的公钥(加密证书)锁住一个秘密钥匙(对称密钥),加密证书,加密证书的密钥对。
通过带外方式发送SM2证书请求文件给符合条件的CA服务器,获取颁发的加密证书、签名证书和含有加密密钥对enckey的数字信封文件。
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100486676&id=ZH-CN_CONCEPT_0000001512846454